银联卡密钥安全管理规则.doc

《银联卡密钥安全管理规则.doc》由会员分享，可在线阅读，更多相关《银联卡密钥安全管理规则.doc（37页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流银联卡密钥安全管理规则.精品文档.银联卡密钥安全管理规则【磁条卡部分】V1.0（经第一届中国银联风险管理委员会第一次会议审议通过）二OO四年七月目 录第一章 总 则31.目的32.适用范围33.遵循标准34.与现有规范的关系45.生效说明46.与本规则配套的相关文档5第二章 个人标识代码（PIN）与密钥管理的基本规定61.银联卡个人标识代码（PIN）加解密基本规定62.密钥体系6第三章 密钥生命周期安全管理91.密钥的生成91.1基本要求91.2各类密钥的生成102.密钥的传输112.1基本要求112.2传输过程112.3接收要求123.密钥

2、的注入和启用123.1基本要求123.2加密机主密钥的注入与启用133.3成员主密钥的注入与启用133.4工作密钥的启用134.密钥的保管144.1基本要求144.2各类密钥组件的保管144.3保管或接收保管144.4与密钥安全有关的机密设备及密码的保管155.密钥的删除与销毁165.1基本要求165.2处理要求166.密钥的泄漏与重置176.1密钥泄漏情况的界定176.2审核程序186.3密钥泄漏后应采取的措施18第四章 设备安全管理201.基本要求202.硬件加密设备安全的管理要求203.终端设备安全管理21第五章 制度监督231.组织管理231.1主要工作职责231.2密钥维护人员的基本

3、配备要求232.审批与操作制度243.自查与监督253.1业务开办前对个人标识代码（PIN）及密钥安全进行资格审查253.2自查253.3监督27附录A：术 语31附录B：遵循标准35附录C：密钥生命周期各阶段工作表格基本要素38第一章 总 则1.目的提升磁条卡跨行交易的安全性和管理水平，确保持卡人个人标识代码（PIN）与敏感信息在跨行交易过程中的安全传输与转接，维护通过跨行网络开展银行卡交易的银联卡网络参与方的整体利益。2.适用范围银联卡密钥安全管理规则（以下简称密钥规则）适用于通过跨行网络进行银行卡交易的中国银联、成员机构、所有受理银联卡的联网机构及其他关联机构（本规则统一简称为银联卡网络

4、参与方）。本着循序渐进的原则，在现阶段密钥规则提出基于传统交易终端（如ATM、POS）发起的跨行磁条卡敏感交易信息加解密的基本规定，主要适用于对称算法的密钥管理。本规则分章节叙述密钥生命周期各环节应达到的基本要求，对银联卡网络内的终端机具、硬件加密设备的安全管理做出基本规定；对人员管理及制度监督提出原则意见；附录列出安全管理工作表格的基本要素。本规则与VISA、MASTERCARD等境外信用卡公司的相关规定基本一致。境外卡在银联卡网络的交易同样适用于本规则；银联卡在境外使用时参照本规则执行。3.遵循标准在实际应用当中，密钥按照体系和使用范围划分为不同类别，每个类别具有相应的功能与特点，遵循不同

5、的标准与要求。密钥规则规定：在有国内标准的情况下应首先遵循国内标准，如国内标准尚未明确，一般应遵循ISO颁布的相关国际标准。4.与现有规范的关系现有规范是指由国家主管部门及中国银联制定颁布的，在金融机构范围内实行，涉及银行卡信息交换密钥安全的有关规范，主要包括：银行卡联网联合技术规范V1.0 2001（简称1.0版技术规范）第三部分“公共接口说明”的第八章“数据传输安全说明”。银行卡联网联合安全规范（简称安全规范）第五部分“联网联合安全技术应用”。银行卡联网联合技术规范V2.0 2004（简称2.0版技术规范）第四部分“数据安全传输控制规范”。上述规范主要从技术实现的角度阐述了信息交换系统中密

6、钥正确和安全使用的相关规定。本规则重点从管理角度出发规定密钥生命周期各环节的操作规则，与现有规范互相补充、配套。5.生效说明本规则适用于当前及今后一段时期内的安全管理，其内容随着业务发展变化的具体情况做相应调整和修订。鉴于目前不同银联卡网络参与方的制度要求与操作方法存在一定差别，为全面实现本规则的要求，现确定实施过渡期（具体期限另行确定）。过渡期间，各银联卡网络参与方应对照要求整章建制，更新相关设备和系统，落实人员，规范操作。过渡期末应达到本规则的基本要求：l 涉及密码的交易必须采用硬件加密。硬件加密设备的要求必须符合本规则第三章的相关规定；l 凡有条件的银联卡网络参与方必须使用128bit或

7、128bit以上的密钥；l 涉及密钥生命周期的各项操作均应执行双重控制、信息拆分、严密交接、妥善保管、及时更新的基本要求，建立并履行权限划分、严格审批、详细记录、实名操作的规章制度；l 建立并严格执行自查与监督机制，实施业务准入评估与违规处罚。6.与本规则配套的相关文档中国银联同步制定了银联卡密钥安全管理指南和中国银联密钥安全管理暂行办法。前者详细阐述各类密钥及其组件生命周期安全管理的推荐做法。后者主要适用于中国银联银行卡信息交换总中心和各分公司，银联商务总公司及其分支机构、银联卡网络参与方应比照这一办法制定相应的实施细则。第二章 个人标识代码（PIN）与密钥管理的基本规定本章概要叙述实际应用

8、当中的密钥体系，按照使用范围划分为不同类别，每个类别都具有相应的功能与特点，须遵循不同的标准与要求。1.银联卡个人标识代码（PIN）加解密基本规定1.1发卡机构发行带个人标识代码（PIN）的银联卡必须遵循如下规定：l 校验密码的真实性；l 个人标识代码（PIN）未经加密而传输的交易必须拒绝。1.2联机受理凭个人标识代码（PIN）使用的银联卡跨行交易应遵守如下基本要求：l 必须在专用的个人标识代码（PIN）输入设备中输密；l 个人标识代码（PIN）加解密必须在专用的硬件加密设备中进行；l 在包括受理方、转接方在内的整个传输过程和主机设备中必须对个人标识代码（PIN）加密；l 加解密必须使用对称算

9、法；l 对MAC的要求视应用按照相关规范而定。2.密钥体系银联卡网络的密钥根据实际使用情况划分成三层，三层密钥体系根据密钥的使用对象而形成，上层对下层提供保护和一定的维护功能，不同层的密钥不许相同，不能相互共享。同一密钥只能用于其生成时所定义的目的，不能用于其他用途；不同的银联卡网络参与方、不同的地区、不同的终端设备不得使用相同的密钥，必须确保密钥的唯一性。2.1第一层密钥（MK）加密机主密钥，即本地主密钥，是最重要的密钥，用于加、解密本地存放的其他密钥数据。MK长度规定为128bit或以上，在硬件加密机以外的地方保管时必须采取严格的安全保管措施。MK一般不更换。2.2第二层密钥（MMK）加密

10、机主密钥的下一层为成员主密钥（MMK）或终端主密钥（TMK），作用是加、解密需传递的工作密钥，实现工作密钥的联机实时传输或其他形式的异地传输。成员主密钥在硬件加密机以外的系统中存放和使用时，处于本地MK的保护之下。两组不同的银联卡网络参与方之间不得使用相同的成员主密钥。一般情况下，MMK最长23年更换一次。2.3第三层密钥（PIK、MAK、TPK、TMK）工作密钥为最底层的密钥，包括银联卡网络参与方之间使用的成员信息完整性密钥（MAK）和成员PIN保护密钥（PIK）、终端到银联卡网络参与方之间使用的终端信息完整性密钥（TAK）和终端PIN保护密钥（TPK）等，用于加密各种数据，保证数据的保密性

11、、完整性、真实性。第三层密钥一般称为工作密钥（也称数据密钥），是使用最频繁的密钥，在本地存放时，受相应的MK、成员主密钥或终端主密钥的保护。在银联卡网络参与方之间进行传输时受成员主密钥的保护，在终端与银联卡网络参与方主机之间传输时受终端主密钥的保护。工作密钥采用定期（原则上每天更换一次），或人工触发方式，或按每隔一定交易笔数申请更换。三层密钥体系结构如下图所示：密钥体系结构图MK加密机主密钥MMKTMKMAKPIKTAKTPK终端主密钥成员主密钥成员信息完整密钥成员PIN保护密钥终端信息完整密钥终端PIN保护密钥2.4各类密钥的基本要求各类密钥及其组件的基本要求如下表所示。通用三级密钥结构表缩

12、写密钥组件段数长度存储方式备份方式更新频率加密机主密钥MK3段128bit或以上HSM内部或外部明文组件存储IC卡保存或纸质一般不更新成员主密钥终端主密钥MMK/TMK2段128bit或以上明文HSM存储，外部密文存储主机密文或外部密文存储一定的更换周期，更新频率低工作密钥PIK/MAKTPK/TAK与应用相关128bit或以上外部密文存储外部密文存储定期更新，更新频率高其中，凡有条件的银联卡网络参与方必须使用128bit或以上的密钥；条件不具备的银联卡网络参与方应在过渡期末更新过渡到128bit或以上。第三章 密钥生命周期安全管理本章详细规定密钥的生成、注入和启用、传输、保管、泄漏与重置、删

13、除与销毁等生命周期各环节应遵循的基本规定。1.密钥的生成1.1基本要求1.1.1生成原则各类密钥及其组件必须遵循随机或伪随机生成的原则。密钥生成工具中随机数的产生必须遵循国家或国际标准中规定使用的算法。1.1.2生成方式及使用工具l 应使用硬件加密机生成各种密钥。各种密钥生成工具，必须通过国家主管部门的认证。l 使用其他符合本规则规定，经必须程序认定安全的生成工具生成。l 在无条件使用工具，只能用人工方式生成密钥时，应规定人工生成密钥的具体步骤及辅助工具的使用方式。人工生成允许采用丢硬币、摸彩球、掷骰子等方法；不允许采用随便用想象的方式或使用计算机语言中固有随机函数产生。1.1.3生成记录各类

14、密钥生成过程必须履行严格的操作审批手续，详细记录，相关人员签名确认，文档资料必须妥善保管（相关工作表格要素详见附录），保存期限应不低于记录对象的生命周期，确保各类密钥生成的安全性与规范性。1.2各类密钥的生成1.2.1 加密机主密钥（MK）加密机主密钥必须由三个组件组成，每个组件的长度为128bit或以上。1.2.1.1使用硬件加密机生成由加密机主密钥的三名生成人员在接受监督的情况下，通过硬件加密机分别独立生成三段主密钥组件，分别记录（或写入IC卡、或打印密封信封）后密封入三个信封，生成、监督人员分别加盖名章（或骑缝签名），由组件生成人员分别保存到各自的保险箱内，负责该密钥组件的注入和保管。1

15、.2.1.2人工生成三个加密机主密钥生成人员在接受监督的情况下，按照指定的人工生成方法各自生成一段密钥组件，分别记录（或写入IC卡、或打印密封信封）后密封入三个信封，生成和监督人员分别加盖名章（或骑缝签名），由组件生成人员分别保存到各自的保险箱内，负责该密钥段的注入和保管。1.2.1.3采用其他工具生成按照本规则规定，根据生成工具的具体使用方法生成。1.2.2 成员主密钥（MMK）成员主密钥一般由两段密钥组件组成，可由对应银联卡网络参与方各自生成其中一段密钥组件，并以安全方式传递合成；也可由银联生成全部两段密钥组件后生成。成员主密钥在双方注入并投产试运行成功后，明文组件应及时销毁。终端主密钥的

16、生成比照上述要求执行。1.2.3 工作密钥（PIK、MAK、TPK、TAK）工作密钥一律采用联机方式由硬件加密机生成。密钥生成后在硬件加密机中用相应的成员主密钥加密后送到主机，再通过相应的联机报文发送到有关银联卡网络参与方及终端设备。加密后的工作密钥，可存放在主机上供系统使用，存放在主机上的工作密钥必须用加密机主密钥或成员主密钥加密保护；也可存放在终端上使用，存放在终端上的工作密钥必须用终端主密钥（TMK）加密保护。2.密钥的传输2.1基本要求密钥明文传输应采用信息拆分、分人分段负责的方法。传输时须分为两个及以上组件，并使用多种渠道不在同一天运输。密钥可采用以组件的硬拷贝、内含密钥组件的安全芯

17、片等方式传输；不得以内含完整密钥明文的硬拷贝或内含完整密钥的芯片方式传输。各类密钥传输交接过程必须履行严格的操作审批手续，详细记录，相关人员签名确认，文档资料必须妥善保管（相关工作表格要素详见附录），保存期限应不低于记录对象的生命周期，确保各类密钥传输的安全性与规范性。2.2传输过程2.2.1同城传输向同城银联卡网络参与方分发密钥时，每一段密钥组件接收机构必须分派专人领取，不得由一人领取多段密钥；不同领取人员不得乘坐同一交通工具。2.2.2异地邮寄应使用机要方式或邮政系统的特快专递邮寄，每一段密钥组件必须单独邮寄，分别在不同日期寄出。2.2.3工作密钥的传输成员机构间的工作密钥必须经对应的成员

18、主密钥加密传输与转接，行内联机方式可采用或比照银行卡联网联合技术规范中有关密钥切换的报文进行。2.2.4禁止方式密钥明文及其组件不得采用电子邮件（E-mail）、传真、电传、电话、短信等方式直接传递。2.3接收要求接收时接收机构的接收、保管、监督等相关人员在场，审核密封信封的完整性和安全性，当场签名盖章，由接收人员或交给保管员存入安全容器内保管，存入过程应记录相应文档。3.密钥的注入和启用3.1基本要求密钥组件必须采用双重控制和信息拆分的原则注入。注入数据不得被无关人员以任何方式非法或无意获得，不得被人为窥视、摄像头监控以及网络截取等方式获取。各类密钥注入过程必须履行严格的操作审批手续，详细记

19、录，相关人员签名确认，文档资料必须妥善保管（相关工作表格要素详见附录），保存期限应不低于记录对象的生命周期，确保各类密钥注入的安全性与规范性。3.2加密机主密钥的注入与启用3.2.1密钥启用前的审核审核密钥组件信封是否有破损或被干预迹象，密封章是否完整。3.2.2密钥注入过程注入密钥组件时，由注入人员分别在现场单独操作，其他人员必须退出到看不到密钥存储设备操作面板的地方。注入完毕后，操作面板上不得留下任何密钥内容。3.2.3密钥注入后的工作原已开封的密钥保管信封需重新封装，并加盖密封章和密钥监督人员的名章，交由原来的保管员保管并做相应文档记录。保管方法须遵守本章4.要求。3.3成员主密钥的注入

20、与启用成员主密钥的注入要求与加密机主密钥的注入过程基本一致。注入完成并投产试运行成功后，凡记录在纸质上的密钥明文必须销毁，销毁方法须遵守本章5.要求。原密钥必须至少保留两个副本，副本保存可采用主机密文文件或机外密文文件的方式。3.4工作密钥的启用比照本规则1.2.3的相关规定进行。4.密钥的保管4.1基本要求l 每一段密钥组件必须独立存储。l 密钥存储介质要求用信封密封，加盖密封章（或骑缝签名）后置入保险容器妥善保管；只有指定的密钥组件的生成人员或注入人员才有权打开容器启用该组件。l 保管地点应在安全区域内的保险容器中。l 保管人员调离时，应按照规定办理交接手续。4.2各类密钥组件的保管4.2

21、.1加密机主密钥组件存储加密机主密钥各段组件的密封信封应在监督下，加盖名章（或骑缝签名）后存入保险容器，且只能由生成人员（或授权人员）在监督下取用各自生成的加密机主密钥组件。4.2.2成员主密钥组件各银联卡网络参与方不保存成员主密钥明文，除主机密文或机外密文留存外，机外不允许有明文出现。4.2.3 工作密钥不应出现在应用系统、终端、注入设备等相关设备以外的任何介质上。4.3保管或接收保管4.3.1由本机构自己生成的密钥组件的保管密钥组件生成后用信封密封，注明密钥名称、用途、长度、密封日期；生成人员、监督人员与保管人员分别签名确认，加盖密封章，当场交保管人员置入不同的保险容器保管。4.3.2由对

22、方分发的密钥组件的保管接收机构的领取人员、密钥监督人员和保管人员同时在场办理交接手续，保管人员应审核信封及其名章的合法性和有效性，当场存入安全容器内保管。4.4与密钥安全有关的机密设备及密码的保管4.4.1存放密钥的保险容器根据密钥保管方式的不同相应配备保险容器。4.4.2 硬件加密机钥匙硬件加密机钥匙可由设备管理人员负责保管，但密钥保管员不能开启密钥注入设备。4.4.3与密钥有关的密码硬件加密机的安全密码、操作窗口密码（或授权操作密码）应分别由设备管理人员、设备操作人员掌管。上述钥匙和密码应在保险容器保留一份，以备急用。4.4.4 与硬件加密机相连的计算机设备（PC）用于密钥维护的计算机设备

23、（PC）必须专机专用，不得另做他用。5.密钥的删除与销毁5.1基本要求l 失效、作废或泄漏的密钥应及时采用安全可靠的方法删除或销毁；l 各类密钥销毁过程必须专人监控和记录，相关人员签名确认，文档资料必须妥善保管（相关工作表格要素详见附录）；l 执行删除操作时必须有监督员在场，经验证确认删除操作完整地执行后，才可认定密钥已被完全删除。5.2处理要求5.2.1主机系统中的密钥在主机系统中找出存放待删除密钥的数据库表或密钥索引文件，经授权后由指定的操作员执行删除操作。5.2.2硬件加密机中的密钥硬件加密机应具有密钥销毁功能，当加密机送检、维修或运输时应启动毁钥功能，保证硬件加密机中的所有密钥被彻底删

24、除。当需要删除加密机中的某个密钥时，应首先确定待删除的密钥在硬件加密机中相应的索引值，然后对该密钥进行删除操作，对无删除密钥功能的加密机可采用重写的方式覆盖需删除的密钥。若需删除加密机中所有的密钥时，可利用加密机提供的毁钥功能来操作。5.2.3终端设备中的密钥设备中存放的密钥报废不再使用时可采用物理销毁的方法来删除密钥。对仍将继续使用的设备可采用覆盖的方法删除密钥。5.2.4存放密钥组件的介质l 纸介质：采用“十字”粉碎、焚毁、溶化的方式，确保不可辨认、不能恢复；l IC卡：对可重复利用的介质，执行写卡操作，覆盖旧密钥，确保不可恢复。对于不再利用的介质采用芯片毁损的方式进行物理毁卡，确保不可恢

25、复。l 密钥传输及注入设备类：启动密钥枪或母POS等设备的毁钥功能销毁。5. 2.5相关机构的成员主密钥当一方销毁密钥涉及另一方的成员主密钥时，应书面通知对方机构删除和销毁成员主密钥，对方机构删除和销毁后需书面返回回执并由相关人员签字确认。6.密钥的泄漏与重置一旦发生密钥泄漏，应立即更换被怀疑或确认泄漏的密钥及所有由该密钥保护的密钥，并重置已更新的密钥，密钥更新和重置后需向主管部门报告。6.1密钥泄漏情况的界定l 有两段或两段以上密钥明文被盗或同时丢失；l 有两段或两段以上密钥明文同时存放在同一台可被人读取的设备上；l 系统内大量密钥泄漏或被攻破；l 系统内大量持卡人PIN被泄漏；l 严重违反

26、本管理规则的操作要求，导致有人掌握完整密钥；l 其他由密钥安全管理组织认定的情况。6.2审核程序密钥泄漏和被攻破需经成员机构密钥安全管理的相关部门认定。对于无法认定的情况，可聘请有关专家和管理人员进行审核，对于情况比较复杂的事件需专题报告中国银联，必要时可报公安部门协查。6.3密钥泄漏后应采取的措施6.3.1主密钥泄漏主密钥泄漏后，应重新生成新密钥并马上启用，需生成的密钥包括加密机主密钥，成员主密钥和终端主密钥，以及各类工作密钥。6.3.2成员主密钥泄漏成员主密钥泄漏后，应重新生成相应成员主密钥并立即启用，并对该成员主密钥所涉及的所有工作密钥予以更新。6.3.3终端主密钥泄漏终端主密钥泄漏后，

27、应重新生成相应的终端主密钥并立即启用，并对该终端的工作密钥予以更新。6.3.4工作密钥的泄漏工作密钥泄漏后，应立即联机更换。6.4其他需要重置的情况如发生硬件加密机无法正常工作或更换新的硬件设备等情况，可根据具体要求进行密钥重置。重置过程比照上述规定执行。6.5加强系统用户权限和操作密码的管理对受理银联卡的各类系统应设置严格的用户管理权限，按级别分别设置各自不同的操作密码，各类密码只有相关人员本人掌握，不得共用密码。如密码发生泄漏或人员离职，应及时更换或更改。6.6情况记录详细记录各类密钥泄漏与处理情况，相关人员签名确认，文档资料必须妥善保管（相关工作表格要素详见附录）。第四章 设备安全管理本

28、章对银联卡网络的终端机具、硬件加密设备的运行安全做出基本规定。1.基本要求l 银联卡网络参与方使用的硬件加密设备必须经过国家密码管理委员会办公室审核通过。终端设备内的密钥安全模块应符合国家密码主管部门的规定和相关标准并经过国家认可的权威机构检测通过；对于未通过审核和批准使用的设备不得在受理银联卡的网络系统中使用，已经使用的应予以更换。l 设备应满足中国人民银行颁布的银行卡联网联合技术规范、银行卡联网联合安全规范以及中国银联颁布的有关规范中规定的基本功能和安全要求。l 对个人标识代码（PIN）的加、解密以及报文鉴别等操作必须在硬件加密设备中完成，完整的密钥和个人标识代码（PIN）的明文不得出现在

29、加密机之外的任何地方。l 管理或维护人员应经常对安全设备的物理情况、监控效果和安全状况进行检查，发现问题应立即纠正。2.硬件加密设备安全的管理要求2.1设备操作l 根据不同的操作权限，设置不同的操作密码；至少双人控制钥匙或密码来执行对设备的操作；l 不能从硬件加密机的外部用任何形式读取密钥的明文；l 硬件加密设备的外壳一旦被强行打开，设备内的密钥应全部自毁；l 具有打印功能的硬件加密机只能在生成新的密钥时才可打印密钥内容，必须打印在密封信封内，由专用打印接口提供，不得通过网络方式提供。2.2设备运行l 应采用双机热备，避免单机故障造成密钥丢失，影响正常交易；l 应存放在带锁机柜中，机柜背板应固

30、定，安放在严格进出管理的机房内；l 应配备摄像系统监控对硬件加密机的操作，但不得监控到注入内容；l 配备摄像监控系统的地方，不得将监控器对准加密设备的操作面板；l 与外部网络连接的加密设备必须设置防火墙隔离措施。2.3设备启用及报废l 硬件加密机启用前应确定机壳未被拆卸过；l 新购买的加密机应修改加密机相关的缺省口令，并执行毁钥操作；l 若使用IC卡保存加密机的密钥，应首先更换IC卡的缺省密码。l 硬件加密机报废时，存贮在该设备中的密钥必须按要求及时删除。3.终端设备安全管理3.1操作与监控l 终端设备技术维护人员与日常业务管理人员应分离，职责明确；l 每次对终端设备的操作，需严格按照操作手册

31、、操作规程进行；l 指定专人管理或通过监控系统实行24小时有效监控。3.2 启用及报废3.2.1在终端设备初始化或更新配置之前，应确定：l 机壳未被拆卸、密码键盘（PIN PAD）粘贴封条、密码模块未被非授权修改或替换；l 终端主密钥生成、注入过程是否符合本规则要求；l 主管密码、操作员密码是否为缺省值。对不符合安全要求的情况，应立即采取措施，消除安全隐患。3.2.2在终端设备报废时，必须立即删除或销毁存储在该设备中的所有密钥。第五章 制度监督本章对密钥维护人员的岗位配置、工作职责、审批制度和监督机制做出基本规定。1.组织管理银联卡网络参与方均应指定专门部门或人员负责密钥安全管理工作。1.1主

32、要工作职责l 结合本单位实际状况，制定严格而有效的实施细则，落实岗位责任制；l 负责密钥生命周期，包括生成、分发与传输、注入与启用、保管、删除与销毁、泄漏与重置等各环节全方位、全过程的规范操作与安全管理。l 根据密钥特性，妥善保管密钥组件、密码函、IC密码卡、软件、源代码、涉及密钥安全管理的各种文档。l 制订其他有关的安全专项管理制度，如出入登记制度、机房管理制度、岗位操作制度、密钥存储介质管理制度等。l 涉及密钥生成、传输、保管各个环节的设备安全管理。l 定期对本单位密钥安全管理状况进行自查，填报有关表格、报送报告。1.2密钥维护人员的基本配备要求根据密钥安全管理的要求，需配备专职或兼职人员

33、负责密钥生命周期各环节的具体工作，所有的审批和操作必须指定专人负责，各专管人员均有自己的业务主管权限，未经批准，不得擅自互换或代替。各单位具体配备的人员为：密钥监督员：负责监督整个密钥生成过程的规范性。设备管理员：负责相关设备的安全管理工作。设备操作员：负责相关安全设备的操作工作。密钥生成员（一般应由硬件加密机使用单位三个不同部门的负责人担任）：负责或授权专人负责密钥的生成、分发、保管及销毁等工作。档案管理员：负责密钥档案资料的保管工作。密钥销毁员：负责密钥资料的销毁。上述人员必须相对固定，均应指定候补人员。相关工作可以兼职，但兼职必须按照本规则第二、三章的相关规定，遵循分隔操作、双重控制的原

34、则，不允许任何一个人具有全部加密资料和加密设备钥匙的控制权。密钥维护人员调离时，应办理交接手续，并由密钥监督人员审核认可。2.审批与操作制度银联卡网络参与方应遵循本规则规定，根据具体应用环境，对各类密钥生成、注入和启用、传输、保管、泄漏与重置、删除与销毁等生命周期流程制定专门的操作规程，建立并履行严格的操作审批手续登记制度（相关工作表格要素详见附录），每一过程必须详细记录，相关人员签名确认，文档资料必须妥善保管，保存期限应不低于记录对象的生命周期，确保各类密钥的安全性与规范性。未履行审批手续的操作一律视同违章操作，应严格禁止。3.自查与监督银联卡网络参与方共同建立监督机制，进行自查与监督，确保

35、密钥生命周期过程操作和管理的规范性，维护持卡人个人标识代码（PIN）及相关敏感信息在银联卡网络的安全传输。3.1业务开办前对个人标识代码（PIN）及密钥安全进行资格审查银联卡网络参与方在开办与个人标识代码（PIN）关联的业务品种前，需向中国银联说明PIN安全管理的有关情况，在规定时间内填报专题调查问卷；填报问卷的银联卡网络参与方应对问卷的真实性负责（下同）。审核结果作为业务开通的必要条件。开办外卡收单业务的银联卡网络参与方须按照国际组织的相关要求，在规定时间内完成调查问卷的填报。3.2自查银联卡网络参与方应定期或不定期对本单位密钥安全管理状况组织检查。自查工作由分管负责人统一组织，技术、业务部

36、门的负责人与密钥维护人员参加。3.2.1自查内容结合当前工作实际确定自查提纲和重点；重点检查密钥资料归档情况是否严密、规范，是否存在未经授权操作，是否存在表格要素填写不全或档案缺失现象，密钥组件明文备份介质与存放情况是否符合要求。针对上次自查报告中存在的问题，重点检查整改落实情况。3.2.2自查方式3.2.2.1调阅档案全面审核所有自上次检查以来的申请表、登记表、审批手续等书面记录。首次自查应审核全部密钥档案资料。通过查阅申请表、登记表的处理流程，核查密钥操作流程是否符合本规则中关于密钥生命周期安全管理的要求。3.2.2.2上机检查模拟生成密钥的全过程。3.2.2.3工作记录针对检查情况设计并

37、填写工作表格；所有检查过程均应记录在册，相关人员现场签章。3.2.3情况处理对自查工作中发现的问题，按照严重程度提出相应整改意见，分别处理：l 对存在泄漏风险隐患、违反规则，如未执行分人操作、保管、档案缺失等原则性问题，应立即责成技术、业务等相关部门立即改正，视情况采取销毁、删除、重置等措施；l 对轻微违反，如保管不善、密钥审批表格要素填写不全等情况同步提出书面改进意见；l 对违反其他规定，如存放加密设备的机柜未上锁、机房出入登记制度执行部严格等情况，责成有关人员纠正。3.2.4自查报告自查结束后，应完成工作报告，其主要内容包括：单位的基本情况、密钥生命周期安全管理、维护状况、存在问题及整改意

38、见。在规定时间内向中国银联报送调查问卷，作为自查报告附件，留底备查。3.3监督中国银联代表全体银联卡网络参与方履行监督职能，以维护共同利益。3.3.1调查对象中国银联将定期或不定期组织对银联卡网络参与方开展调查。其中，重点对象明确如下：l 申请加入银联网络或开办新的与个人标识代码（PIN）关联的业务品种的；l 发生个人标识代码（PIN）泄漏等风险事件，给其他银联卡网络参与方带来业务损失或潜在风险隐患的；l 报送的自查报告存在较为严重问题的；l 涉及被相关银联卡网络参与方投诉或提起争议裁定，与个人标识代码（PIN）相关事件中的；l 限期整改未达标的；l 国际组织通报存在风险隐患的；l 其他信息安

39、全管理不严的。3.3.2监督流程3.3.2.1确定监督重点对照本规则基本要求，确定监督重点；针对自查报告中存在的问题，重点抽查落实整改情况。3.3.2.2发送监督通知在监督日前一周以函件形式通知被查单位，并将本次监督重点和要求填报的表格发送给被查单位。3.3.2.3书面反馈监督情况具体监督方式参照本章3.2.2“自查方式”执行。基本监督情况、存在问题、改进意见以书面形式反馈并限期改进。3.3.2.4申诉与反馈被查单位可以对存在问题提起申诉。申诉应在监督日后7个工作日内提交中国银联。中国银联将核实申诉内容，结果于7个工作日内回复。3.3.3监督内容3.3.3.1密钥生命周期的安全管理对密钥生成、

40、保管、启用、更新、销毁操作等过程进行监督，杜绝违规或超权限操作，禁止发生以下情形：l 未使用专用加密设备，密钥的明文出现在系统或程序中；l 加密机主密钥、成员主密钥以单个密钥形式出现，或密钥组件在权限范围外可以被合成；l 密钥未按规定动态更新，长时段呈静态状况，导致被非法穷举攻破；l 废旧密钥未及时销毁，随意丢弃或放置；l 在测试系统和生产系统使用同一密钥，或在测试系统出现生产系统密钥的明文；l 同一密钥在多个地方使用；l 不同银联卡网络参与方使用相同的加密机主密钥；l 其他。3.3.3.2与PIN及密钥相关的机具设备、系统运行的维护管理状况l 设备的物理环境如电源电流及电压、温湿度、是否变化

41、；l 照明、消防及监控设施是否完好，摄像头是否清晰有效，摄像头不能对准键盘或屏幕；l 设备的外壳是否完好，是否有被拆卸、破坏的迹象；l 设备有无多余的连接线或外接电缆；l 终端设备（如ATM）周围是否张贴有关操作提示；l 其他各项安全监督指标是否符合要求。3.3.3.3对终端定期进行安全监督l 终端硬件（包括PIN PAD）是否完好l 密码键盘（PIN PAD）封条是否损坏l 终端软件是否更新过l 终端操作是否正常3.3.4情况处理对密钥安全管理监督工作中发现的问题或自查中的遗留问题，按照性质的严重程度和是否能现场定性进行分别处理。3.3.4.1现场纠正对违反本规则并能够现场定性的问题，应向被

42、监督单位有关负责人及其技术、业务等相关部门提出改正意见，视情况口头提出如销毁、删除、重置等针对性措施建议。3.3.4.2事后处理对现场不易总结或问题性质严重甚至有可能发生案件的情况，事后立即向被监督单位有关部门负责人提出针对性意见。3.3.4.3违规处罚被监督单位违反本规则操作，并给银联卡网络参与方带来损失的，报经风险管理委员会同意，视严重程度向其分别给予承担相应损失责任并限期整改、增加监督力度、限制业务运营种类、罚款以至网络退出等处罚。附录A：术 语ATM自动柜员机（Automatic Teller Machine）一个有电子功能,接受密码，提供取现和支票的终端自行处理的机器。密钥校验值（C

43、heck value）用于校验密钥输入时的正确性。分为密钥组件的校验值和密钥合成后的总校验值。密文（Cipher text）数据的加密形式，即已加了密的明文。分裂学（Cleavage）将密钥信息分裂为两个及两个以上的组件，单个人员凭掌握的单个组件无法获得足够的信息来了解实际密钥的方法。数据加密算法（Data Encryption Algorithm，DEA）一个发布的加密算法，把基于可变密钥的数据译成密码，用来保护重要信息。解密（Decrypt）将密文转换成明文的过程。双重控制（Dual control）单个人员不能控制保护项的过程。加密（Encrypt）通过一种加密算法（可逆的）将数据转换成

44、密文。硬件加密机（HSM）由国家指定生产厂商研制开发的，专门应用于内部网络系统中，以规定的协议通讯，直接与主机相连接，实现对网络上传输的信息进行保护或鉴别，以保证信息的正确性，防止内部重要的数据被非法篡改或窃取的设备。密钥（Key）一种与密码算法联系起来使用的参数。密钥分量（Key component）见密钥组件。密钥交换密钥（Key encryption key, KEK）包含两类，成员主密钥（MMK）和终端主密钥（TMK），密钥交换密钥是在传输过程中对工作密钥进行加密的密钥。密钥生命周期（密钥生存期）（Key lifecycle）密钥从生成开始到被销毁为止，密钥存在的过程，包括生成、存储、

45、分发、注入、使用、删除、销毁和存档等。密钥管理（Key management）在整个密钥生命周期内的对密钥及相关参数（初始向量、计数值）的操作，包括生成、存储、分发、注入、使用、删除、销毁和存档等。加密机主密钥（MK）在密钥加密密钥和处理密钥中，最高级别的密钥加密密钥称为加密机主密钥，用于加密下一层（MMK）密钥的密钥，受硬件加密机保护。成员主密钥（MMK）在密钥加密密钥和处理密钥中，处于第二层的密钥加密密钥称为成员主密钥，用于加密下一层（WK）密钥的密钥，受MK加密保护。消息鉴定码（Message Authentication Code, MAC）MAC是用来完成消息来源正确性鉴别，防止数据

46、被篡改或非法用户窃入的数据。MAC密钥（MAK）用于生成交易报文合法性的认证数据(MAC)的密钥称为MAC密钥(MAK)。个人标识代码（Personal Identification Number, PIN）个人识别码是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许PIN以明文的方式出现。PIN加密密钥（PIK）用于加密PIN的密钥称为PIN加密密钥。POS销售点终端（Point Of Sale）能够接受磁条卡信息，有通讯功能，接受指令而完成金融交易信息和有关信息交换的设备。伪随机（Pseudo-random）指由算法产生，生成结果是一系列可以转换成二进制的数字。随机（Random）指无法预知和重复。对称密钥（Symmetric key）用于对称加密算法中，加密和解密过程中使用相同的对称密钥。目前通用的对称密钥算法为DES算法。终端（Terminal）指用于读取银行卡信息，发